Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用我们的贡献：强制性的SCA规则为了检测上述不安全的用法，我们在HPFortifySCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和ApacheHTTPClient的代码中的问题，因为它们是厚客户端和Android应用程序的广泛使用的库。超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回true。函数f：f.name是“verify”和f.enclosingClass.supers包含[Class：name==“javax.net.ssl.HostnameVerifier”]和f.parameters[0].type.name是“java.lang.String”和f.parameters[1].type.name是“javax.net.ssl.SSLSession”和f.returnType.name是“boolean”，f包含[ReturnStatementr：r.expression.ctantValuematches“true”]]]>过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。函数f：f.name是“checkServerTrusted”和f.parameters[0].type.name是“java.security.cert.X509Certificate”和f.parameters[1].type.name是“java.lang.String”和f.returnType.name是“void”而不是f包含[ThrowStatementt：t.expression.type.definition.supers包含[Class：name==“（javax.security.cert.CertificateException|java.security.cert.CertificateException）”]]]>缺少主机名验证：当代码使用低级SSLSocketAPI并且未设置HostnameVerifier时，将触发该规则。经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnectionAPI并且它设置自定义主机名验证器时，该规则被触发。经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnectionAPI并且它设置自定义SSLSocketFactory时，该规则被触发。我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL/TLS使用。https://github.com/GDSSecurity/JSSE_Fortify_SCA_RulesAuthorAndreaScaduto|评论关闭|分享文章分享文章标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则Fortify软件强化静态代码分析器使软件更快地生产完整的软件安全测试和管理安全和DevOps，“新”SDLC。应用程序经济的快速增长挑战了传统的软件开发生命周期，推动更多敏捷的流程，自动化和更多的协作跨开发，和安全操作。看看appsec是什么意思阅读博客software_solutisecure_sdlc_interstitial_image_472x266_tcm245_2355047_tcm245_2355042_tcm245-2355047.jpgDevOps的安全状态应用安全和DevOps报告2016。阅读更多应用安全产品DAST强化WebInspect自动化的动态安全测试工具，以查找和优先考虑可利用的网络漏洞。学到更多SAST强化静态代码分析器自动静态代码分析，帮助开发人员消除漏洞并构建安全软件。学到更多软件安全Fortify软件安全中心管理整个安全SDLC的软件风险-从开发到和生产。学到更多应用安全测试按需加强应用安全即服务。学到更多RASP强化应用程序防御者通过运行时应用程序自我保护来保护内部的生产应用程序。学到更多安全代码开发强化DevInspect通过从一开始就编写安全代码来实现敏捷开发。赋予您的学到更多Fortify软件强化静态代码分析器使软件更快地生产HPFortify静态代码分析器Fortify软件通过引入FortifySCA5.0设置安全代码开发的行业标准2017年10月23日06:29AM市场领xian的企业级应用安全解决方案供应商Fortify?SoftwareInc.今天推出FortifySCA5.0，这是第五代屡获殊荣的源代码分析软件。FortifySCA是业界强大的静态分析解决方案，西南fortify采购，旨在帮助企业消除其开发应用程序中的安全漏洞。Fortify的xin版本FortifySCA5.0集成了新的功能，为应用程序安全性制定了新的行业标准，包括几个行业第yi：-由向导驱动创建由不是的人定制的安全规则软件开发人员-实现软件开发团队之间的协作-防范新类别的漏洞应用安全-支持编程语言，源代码审计工具fortify采购，包括PHP，JavaScript（Ajax），经典ASP/VB脚本（VB6）和COBOL的有限版本据Gartner介绍，“企业必须采用源代码扫描技术和流程，因为需求是战略性的。”（源代码安全测试工具的市场定义和供应商选择标准，2017年5月，NeilMacDonald和JosephFeiman）。由于应用程序安全性将自身确定为组织开发自己的应用程序的“必须”，所以安全的开发过程必须更紧密地集成到其日常活动中。Fortify已经是应用程序安全性的市场，已经纳入了其客户群体的反馈，源代码检测工具fortify采购，为企业安全开发生命周期带来协作，定制和更全mian的保护。Fortify执行官JohnM.Jack说：“我们的客户群的广度和深度使我们能够洞察世界shangda的应用程序安全部署，源代码扫描工具fortify采购，以及组织如何使用这种技术的详细知识。“这些业务面临不断的安全威胁和客户根据他们所确定的安全级别对其产品和服务进行评估，因此他们花了大量时间评估其安全开发实践，并对任何解决方案都有非常明确的要求随着FortifySCA5.0的发布，我们实施了这些市场的反馈，提供满足这些要求的第yi个解决方案和业界有xiao的应用安全解决方案。“源代码检测工具fortify采购-苏州华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念，拥有一支高素质的员工队伍，力求提供更好的产品和服务回馈社会，并欢迎广大新老客户光临惠顾，真诚合作、共创美好未来。华克斯——您可信赖的朋友，公司地址：苏州工业园区新平街388号，联系人：华克斯。)